コンテンツにスキップ
AIRS ISMS

【2025年度版】情報セキュリティ技術テスト

FRM-008 record v1.0 作成: 鈴木謙吾

編注: 本様式はGoogleフォームから回答スプレッドシートを介して復元したもの。設問文と正答は完全復元だが、選択式設問の誤答選択肢は復元不可(回答に現れた選択肢のみ記載)。来年度のテストは実施方法を含めて再設計予定。

全20問。正答は満点者2名(いずれも 20 / 20、回答完全一致)の回答から復元した。

設問

Section titled “設問”

1. Webアプリケーションで、入力値がPHPのexec関数に渡されて実行される脆弱性を悪用する攻撃はどれか?

Section titled “1. Webアプリケーションで、入力値がPHPのexec関数に渡されて実行される脆弱性を悪用する攻撃はどれか?”
  • 正答: コマンドインジェクション

2. TLS 1.3において利用される暗号方式として適切なのはどれか?

Section titled “2. TLS 1.3において利用される暗号方式として適切なのはどれか?”
  • 正答: AES-GCM(AEAD)

3. Validation Authority (VA) の役割として適切なのはどれか?

Section titled “3. Validation Authority (VA) の役割として適切なのはどれか?”
  • 正答: 証明書失効情報の提供(OCSPレスポンスの即時配布)

4. マルウェア「Mirai」の特徴はどれか?

Section titled “4. マルウェア「Mirai」の特徴はどれか?”
  • 正答: IoT機器を踏み台にして大規模DDoS攻撃を行う

5. SAML (Security Assertion Markup Language) の説明として正しいのはどれか?

Section titled “5. SAML (Security Assertion Markup Language) の説明として正しいのはどれか?”
  • 正答: 認証情報をXML形式でやり取りするシングルサインオン方式

6. CVSS(Common Vulnerability Scoring System)に関する説明として正しいものはどれか?

Section titled “6. CVSS(Common Vulnerability Scoring System)に関する説明として正しいものはどれか?”
  • 正答: 脆弱性の深刻度を0.0〜10.0のスコアで評価する標準である

7. DNSSECに関する説明として正しいのはどれか?

Section titled “7. DNSSECに関する説明として正しいのはどれか?”
  • 正答: DNS応答の完全性と正当性を検証する仕組み

8. OAuth 2.0の正しい説明はどれか?

Section titled “8. OAuth 2.0の正しい説明はどれか?”
  • 正答: 認可のためのプロトコル

9. ClickFixの説明として正しいのはどれか?

Section titled “9. ClickFixの説明として正しいのはどれか?”
  • 正答: ユーザーに開発者ツールやコマンドプロンプトを開かせ、マルウェアをダウンロード・実行させる社会工学的手口

10. サプライチェーン攻撃の説明として正しいのはどれか?

Section titled “10. サプライチェーン攻撃の説明として正しいのはどれか?”
  • 正答: 信頼された開発者や配布元を経由して不正なコードやマルウェアを組み込む攻撃

11. クリックジャッキング対策として有効なのはどれか?

Section titled “11. クリックジャッキング対策として有効なのはどれか?”
  • 正答: X-Frame-Optionsレスポンスヘッダを設定する

12. DTLSの特徴として正しいものはどれか?

Section titled “12. DTLSの特徴として正しいものはどれか?”
  • 正答: UDP上でTLS相当の暗号通信を行う

13. IoC (Indicator of Compromise) の例として適切なのはどれか?

Section titled “13. IoC (Indicator of Compromise) の例として適切なのはどれか?”
  • 正答: 攻撃の痕跡や不審な通信先IPアドレスなど

14. クリプトジャッキングの説明として正しいものはどれか?

Section titled “14. クリプトジャッキングの説明として正しいものはどれか?”
  • 正答: 暗号資産のマイニングを不正に行う

15. CASB (Cloud Access Security Broker) の役割として正しいのはどれか?

Section titled “15. CASB (Cloud Access Security Broker) の役割として正しいのはどれか?”
  • 正答: クラウド利用におけるセキュリティポリシー適用や監視を行う仕組み

16. HTTP Strict Transport Security (HSTS) の目的はどれか?

Section titled “16. HTTP Strict Transport Security (HSTS) の目的はどれか?”
  • 正答: サイトへのHTTPアクセスを強制的にHTTPSへリダイレクトする

17. SHA-512/256の説明として正しいのはどれか?

Section titled “17. SHA-512/256の説明として正しいのはどれか?”
  • 正答: SHA-512を使い256ビットのハッシュ値を出力する方式

18. DRDoS攻撃の特徴はどれか?

Section titled “18. DRDoS攻撃の特徴はどれか?”
  • 正答: 第三者を踏み台にし、応答トラフィックを攻撃対象に送り付ける攻撃

19. IoT機器を狙った攻撃として代表的なものはどれか?

Section titled “19. IoT機器を狙った攻撃として代表的なものはどれか?”
  • 正答: パスワードリスト攻撃による不正ログイン
  • 判明している選択肢(誤答): 電源遮断攻撃

20. Dependency Confusion 攻撃の被害を低減するための有効な対策はどれか?

Section titled “20. Dependency Confusion 攻撃の被害を低減するための有効な対策はどれか?”
  • 正答: 社内専用パッケージは公開リポジトリよりも優先して解決されるよう設定する

改訂履歴

Section titled “改訂履歴”
改定日改定内容承認
2026-06-101.0Googleフォームの回答スプレッドシートから設問・正答を復元しMarkdown化-